Das Handbuch zu Kleopatra - KDE Documentation · PDF file•Bei OpenPGP-Zertiﬁkaten wird mit der Dateierweiterung gpg und pgp eine binäre Datei, mit der Erweiterung asc eine Datei

Das Handbuch zu Kleopatra

Marc MutzEntwickler: David Faure

Entwickler: Steffen HansenEntwickler: Matthias Kalle Dalheimer

Entwickler: Jesper PedersenEntwickler: Daniel Molkentin

Deutsche Übersetzung: Matthias Kalle DalheimerDeutsche Übersetzung: Torbjörn Klatt


2

Inhaltsverzeichnis

1 Einführung 7

2 Die wichtigsten Funktionen 8

2.1 Anzeige des lokalen Schlüsselspeichers . . . . . . . . . . . . . . . . . . . . . . . . . 8

2.2 Zertifikate suchen und importieren . . . . . . . . . . . . . . . . . . . . . . . . . . . . 9

2.3 Neue Schlüsselpaare erzeugen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 9

2.3.1 Einen Schlüssel widerrufen . . . . . . . . . . . . . . . . . . . . . . . . . . . . 10

3 Menüreferenz 113.1 Das Menü Datei . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 113.2 Das Menü Ansicht . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 133.3 Das Menü Zertifikate . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 143.4 Das Menü Extras . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 163.5 Das Menü Einstellungen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 17

3.6 Das Menü Fenster . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 183.7 Das Menü Hilfe . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 18

4 Referenz der Befehlszeilenoptionen 19

5 Kleopatra einrichten 20

5.1 Einrichtung von Zertifikatsservern . . . . . . . . . . . . . . . . . . . . . . . . . . . . 20

5.2 Erscheinungsbild einrichten . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 22

5.2.1 Kurzinfos einrichten . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 225.2.2 Zertifikats-Kategorien einrichten . . . . . . . . . . . . . . . . . . . . . . . . 23

5.2.3 Die DN-Attributreihenfolge einstellen . . . . . . . . . . . . . . . . . . . . . 23

5.3 Kryptografie-Aktionen einrichten . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 24

5.3.1 E-Mail-Aktionen einrichten . . . . . . . . . . . . . . . . . . . . . . . . . . . . 245.3.2 Datei-Aktionen einrichten . . . . . . . . . . . . . . . . . . . . . . . . . . . . 25

5.4 S/MIME-Prüfung einrichten . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 25

5.4.1 Einstellen des Intervalls zur Zertifikatüberprüfung . . . . . . . . . . . . . . 25

5.4.2 Einstellung der Überprüfungsmethode . . . . . . . . . . . . . . . . . . . . . 26

5.4.3 Überprüfungseinstellungen einrichten . . . . . . . . . . . . . . . . . . . . . . 26

5.4.4 Einrichten der Optionen für HTTP-Anfragen . . . . . . . . . . . . . . . . . . 27

5.4.5 Einrichten der Optionen für LDAP-Anfragen . . . . . . . . . . . . . . . . . . 27

5.5 Einrichtung des GnuPG-Systems . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 28


6 Handbuch für den Systemverwalter 30

6.1 Anpassung des Assistenten zum Erzeugen von Zertifikaten . . . . . . . . . . . . . 30

6.1.1 Anpassung der DN-Felder . . . . . . . . . . . . . . . . . . . . . . . . . . . . 30

6.1.2 Beschränkung der Schlüsselarten, die ein Benutzer erzeugen darf . . . . . . 31

6.1.2.1 Algorithmen für öffentliche Schlüssel . . . . . . . . . . . . . . . . . 31

6.1.2.2 Größe des öffentlichen Schlüssels . . . . . . . . . . . . . . . . . . . 316.2 Schlüsselkategorien erzeugen und editieren . . . . . . . . . . . . . . . . . . . . . . . 32

6.3 Einstellung von Archivierungs-Programmen für die Benutzung mit „Dateien si-gnieren/verschlüsseln ...” . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 36

6.3.1 Dateiname der zu archivierenden Datei, wie er dem pack-command überge-ben wird . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 37

6.4 Einrichtung der Prüfsummen-Programme zur Benutzung mit „Prüfsummen er-stellen/verifizieren” . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 38

7 Danksagungen und Lizenz 41

4


Tabellenverzeichnis

5.1 Abbilden der GpgConf-Typen auf die GUI-Bedienelemente . . . . . . . . . . . . . 29

6.1 Schlüsselfilter-Konfigurationsschlüssel, die Anzeigeeigenschaften definieren . . . 33

6.2 Schlüsselfilter-Konfigurationsschlüssel, die Filterkriterien definieren . . . . . . . . 35

5

Zusammenfassung

Kleopatra ist ein Hilfsprogramm zum Verwalten von X.509- und OpenPGP-Zertifikaten.

http://en.wikipedia.org/wiki/X.509

http://en.wikipedia.org/wiki/Pretty_Good_Privacy#OpenPGP


Kapitel 1

Einführung

Kleopatra ist das KDE-Programm zum Verwalten von X.509- und OpenPGP-Zertifikaten inGpgSM- und GPG-Schlüsselspeichern, und zum Abfragen von Zertifikaten von LDAP- und an-deren Zertifikats-Servern.Kleopatra kann sowohl aus dem Menü Extras→ Zertifikatsverwaltung von KMail als auch vonder Befehlszeile aus gestartet werden. Das ausführbare Programm von Kleopatra heißt kleopatra.

ANMERKUNGDieses Programm ist nach Kleopatra benannt, einer berühmten ägyptischen Pharaonin, die zur ZeitJulius Cäsars gelebt hat, mit dem sie ein Kind namens Caesarion hatte, das nicht als sein Erbe aner-kannt wurde.Der Name wurde gewählt, weil dieses Programm aus dem Ägypten-Projekten stammt.

7

http://en.wikipedia.org/wiki/X.509

http://en.wikipedia.org/wiki/Pretty_Good_Privacy#OpenPGP

http://www.gnupg.org/documentation/manuals/gnupg/Invoking-GPGSM.html

http://en.wikipedia.org/wiki/GNU_Privacy_Guard

http://www.gnupg.org/aegypten2/


Kapitel 2

Die wichtigsten Funktionen

2.1 Anzeige des lokalen Schlüsselspeichers

Die wichtigste Funktion von Kleopatra ist das Anzeigen und Editieren des Inhalts des lokalenSchlüsselspeichers, der dem Schlüsselring-Konzept von GPG ähnelt, auch wenn man diesen Ver-gleich nicht zu sehr bemühen sollte.

Das Hauptfenster besteht aus mehreren Unterfenstern mit Listen von Zertifikaten, der Menüleis-te und der Suchleiste am oberen Rand, sowie der Statuszeile am unteren Rand.

Jede Zeile in der Schlüsselliste entspricht einem Zertifikat, das durch den sogenannten Betreff-DN identifiziert wird. DN ist ein Akronym für den englischen Ausdruck „Distinguished Name”,ein hierarchischer Bezeichner, der einem Dateisystempfad mit ungewöhnlicher Syntax ähneltund ein bestimmtes Zertifikat eindeutig global identifizieren soll.

Um gültig und damit verwendbar zu sein, müssen (öffentliche) Schlüssel von einer CA (Cer-tification Authority; Zertifizierungsinstanz) signiert sein. Diese Signaturen werden Zertifikategenannt, aber normalerweise werden die Ausdrücke „Zertifikat” und „(öffentlicher) Schlüssel”austauschbar verwendet, sofern das nicht ausdrücklich anders angegeben ist.

CAs müssen ebenfalls wiederum von anderen CAs signiert sein, um gültig zu sein. Natürlichmuss diese Kette irgendwo enden, deshalb signiert die oberste CA (die Wurzel-CA) ihren Schlüs-sel mit sich selbst (dies wird eine Selbst-Signatur genannt). Wurzel-Zertifikaten muss daher dieGültigkeit (meistens Vertrauenswürdigkeit genannt) manuell zugewiesen werden, z. B. durchVergleichen des Fingerabdrucks mit dem auf der Website der CA. Dies wird normalerweise vomSystemverwalter oder dem Hersteller des Produkts, das Zertifikate verwendet, vorgenommen,kann aber über die Befehlszeilenschnittstelle von GpgSM auch vom Benutzer durchgeführt wer-den.Um zu sehen, welche Zertifikate Wurzel-Zertifikate sind, können Sie mit Ansicht→Hierarchische Zertifikatsliste in den hierarchischen Anzeigemodus wechseln.

Sie können sich die Details eines beliebigen Zertifikats durch Doppelklick auf das Zertifikat oderdurch Verwendung von Ansicht→Zertifikatsdetails ansehen. Dabei wird ein Dialog geöffnet, indem die gängigsten Eigenschaften des Zertifikats, dessen Zertifikatskette (d. h. die Kette der Aus-steller bis zur Wurzel-CA) und alle Informationen, die das Backend über das Zertifikat ermittelnkann, angezeigt werden.

Wenn Sie den Inhalt des Schlüsselspeichers außerhalb von Kleopatra verändern (z. B. über die Be-fehlszeilenschnittstelle von GpgSM), dann können Sie die Anzeige mit Ansicht→Aktualisieren(F5) aktualisieren.

8


2.2 Zertifikate suchen und importieren

Normalerweise bekommen Sie neue Zertifikate durch Überprüfen von Signaturen in E-Mail-Nachrichten, weil die Zertifikate normalerweise in die Signaturen, die damit vorgenommen wur-den, eingebettet werden. Wenn Sie aber jemandem eine Nachricht senden wollen, mit dem Siebisher noch keinen Kontakt hatten, dann müssen Sie das Zertifikat aus einem LDAP-Ordner(GpgSM kann das aber auch automatisch für Sie tun) oder einer Datei holen. Außerdem müssenSie Ihr eigenes Zertifikat importieren, nachdem Sie die Antwort der CA auf Ihre Zertifizierungs-anfrage bekommen haben.

Um ein Zertifikat in einem LDAP-Ordner zu suchen, wählen Sie Datei→ Zertifikate auf Serversuchen ... und geben einen Text, wie z. B. den Namen der Person, deren Zertifikat Sie suchen,in das Eingabefeld des Dialogs Zertifikatssuche auf Schlüsselserver ein. Drücken Sie dann denKnopf Suchen. Gefundene Zertifikate werden dann in der Schlüsselliste unter der Suchleisteangezeigt. Wählen Sie ein Zertifikat aus, um sich mit Details zusätzliche Informationen anzeigenzu lassen oder klicken Sie auf Importieren, um das Zertifikat in den lokalen Schlüsselspeicherherunterzuladen.Sie können die Liste der zu durchsuchenden LDAP-Server auf der Seite Verzeichnisdienste desEinrichtungsdialogs von Kleopatra einstellen.

Wenn Sie die Zertifikate als eine Datei bekommen haben, versuchen Sie es mit Datei→Zertifikate importieren ... (Strg+I) . GpgSM muss dazu das Format der Zertifikatsdatei unter-stützen; im GpgSM-Handbuch finden Sie eine Liste der unterstützten Dateiformate.

Wenn Sie Ihr Schlüsselpaar nicht mit GpgSM erzeugt haben, müssen Sie auch den öffentlichenund den geheimen Schlüssel aus der PKCS#12-Datei importieren, die Sie von der CA bekommenhaben. Dies können Sie von der Befehlszeile aus mit kleopatra --import-certificatedateiname oder in Kleopatra mit Datei→ Zertifikate importieren ... (Strg+I) durchführen,genauso, wie Sie es auch für „normale” Zertifikate tun würden.

2.3 Neue Schlüsselpaare erzeugen

Der Menüeintrag Datei→ Neues Zertifikat ... (Strg+N) startet den Assistenten zur Erstellungeines Schlüsselpaars, der Sie durch die notwendigen Schritte zur Erzeugung einer Zertifikatsan-frage führt.

Wenn Sie mit dem Ausfüllen einer Seite im Assistenten fertig sind, klicken Sie auf Weiter, umzum nächsten Schritt zu kommen (mit Zurück können Sie bereits durchgeführte Schritte nocheinmal anschauen). Die Erzeugung der Zertifikatsanfrage kann jederzeit mit der Schaltfläche Ab-brechen abgebrochen werden.

Auf der ersten Seite des Assistenten wird die Art des Zertifikats ausgewählt, das erstellt werdensoll.

Persönliches OpenPGP-Schlüsselpaar erzeugenOpenPGP-Schlüsselpaare werden lokal auf Ihrem Rechner erstellt und von Ihren Freundenund Bekannten beglaubigt. Es gibt keine zentrale Beglaubigungsinstanz; jeder Anwendererstellt ein persönliches Netz des Vertrauens durch die Beglaubigung der Schlüsselpaareanderer durch sein eigenes Zertifikat.Es muss ein Name, eine E-Mail-Adresse und wahlweise ein Kommentar eingegeben wer-den.

Persönliches X.509-Schlüsselpaar und Beglaubigungs-Anfrage erstellenX.509-Schlüsselpaare werden lokal erstellt, aber zentral durch eine Beglaubigungsinstanz(Certificate Authority, CA) beglaubigt. CAs können andere CAs beglaubigen, dadurch ent-steht eine hierarchische Vertrauenskette.Der nächste Schritt im Assistenten besteht darin, Ihre persönlichen Daten für das Zertifikateinzutragen. Die auszufüllenden Felder lauten:

9

http://www.gnupg.org/documentation/manuals/gnupg/Invoking-GPGSM.html#Invoking-GPGSM


• Allgemeiner Name (CN): Ihr Name;• E-Mail-Adresse (EMAIL): Ihre E-Mail-Adresse; geben Sie diese sorgfältig ein, denn an

diese Adresse werden Nachrichten verschickt, wenn Ihr Zertifikat verwendet wird.• Ort (L): Die Stadt oder der Ort, wo Sie leben;• Abteilung (OU): Die Organisationseinheit, zu der Sie gehören (etwa „Logistik”);• Organisation (O): Die Organisation, die Sie repräsentieren (etwa Ihr Arbeitgeber);• Ländercode (C): Der zweibuchstabige Code, der das Land bezeichnet, in dem Sie leben

(z. B. „DE”);

Im nächsten Schritt des Assistenten wählen Sie aus, ob das Zertifikat in einer Datei gespei-chert oder direkt an eine CA geschickt werden soll. Sie müssen entweder den Dateinamenoder die E-Mail-Adresse, an die die Zertifikatsanfrage geschickt werden soll, angeben.

2.3.1 Einen Schlüssel widerrufen

Solange Sie den privaten Schlüssel und das Passwort besitzen, können Sie einen abgelaufenenSchlüssel wieder benutzbar machen. Wenn Sie einen Schlüssel endgültig unbenutzbar machenmöchten, müssen Sie ihn sperren. Das wird mittels einer speziellen Sperrsignatur erreicht, diezum Schlüssel hinzugefügt wird.

Eine Widerrufssignatur in einer gesonderten Datei gespeichert. Diese kann später in den Schlüs-selbund importiert werden und wird dann an den Schlüssel angehängt und macht ihn damitunbrauchbar. Bitte beachten Sie, dass dazu das Passwort des Schlüssels nicht erforderlich ist.Deshalb sollten Sie die Datei mit der Sperrsignatur sicher aufbewahren, am besten getrennt vonIhrem privaten Schlüssel. Es ist ratsam, dazu einen Ort zu wählen, der nicht mit einem Computerverbunden ist, z. B. können Sie die Datei auf ein externes Speichermedium wie einen USB-Stickübertragen oder Sie drucken sie einfach aus.

In Kleopatra gibt es keine Funktion, um so eine Widerrufssignatur zu einem beliebigen Zeitpunktzu erzeugen. Sie können dazu jedoch das KDE-Programm KGpg verwenden und in diesem Pro-gramm Schlüssel→Schlüssel sperren im Menü wählen und dann gegebenenfalls diese Signatursofort in Ihren Schlüsselring importieren.

Als andere Möglichkeit um ein Widerrufs-Zertifikat können Sie GPG direkt auf der Befehls-zeile verwenden:gpg --output revocation_certificate.asc --gen-revoke ihr_schlüssel. Als Argument für ihr_schlüssel muss die Kennung eines Schlüssels, entweder dieSchlüsselkennung Ihres primären Schlüsselpaars oder ein beliebiger Teil einer Benutzerkennung,die Ihr Schlüsselpaar identifiziert.

10


Kapitel 3

Menüreferenz

3.1 Das Menü Datei

Datei→Neues Zertifikat ... (Strg+N)

Erzeugt ein neues Schlüsselpaar (aus öffentlichem und privatem Schlüssel) und ermöglichtdas Verschicken des öffentlichen Teils an eine Zertifizierungsinstanz (CA) zur Signierung.Das resultierende Zertifikat wird an Sie zurückgeschickt oder in einem LDAP-Server ge-speichert, von wo Sie es in Ihren lokalen Schlüsselspeicher herunterladen können, wo eszum Signieren und Entschlüsseln von Nachrichten dient.Dieser Betriebsmodus wird „dezentrale Schlüsselerzeugung” genannt, weil alle Schlüssellokal erzeugt werden. Kleopatra (und GpgSM) unterstützt die „zentrale Schlüsselerzeu-gung” nicht direkt, aber Sie können das Bündel aus öffentlichem und geheimen Schlüssel,das Sie von der CA im PKCS#12-Format bekommen, mit Datei→ Zertifikate importieren... (Strg+I) importieren.

Datei→ Zertifikate auf Server suchen ... (Strg+Umschalt+I)

Sucht Zertifikate auf Zertifikatsservern und importiert sie in den lokalen Schlüsselspeicher.Weitere Informationen finden Sie unter Abschnitt 2.2.Um diese Funktion verwenden zu können, müssen Schlüsselserver eingerichtet sein. Wei-tere Informationen finden Sie unter Abschnitt 5.1.

Datei→ Zertifikate importieren ... (Strg+I)

Importiert Zertifikate und/oder geheime Schlüssel aus Dateien in den lokalen Schlüssel-speicher. Weitere Informationen finden Sie unter Abschnitt 2.2.Das Format der Zertifikatsdatei muss von GpgSM/GPG unterstützt werden. In den Hand-büchern von GpgSM und GPG finden Sie eine Liste der unterstützten Formate.

Datei→ Zertifikate exportieren ... (Strg+E)

Exportiert die ausgewählten Zertifikate in eine Datei.Die ausgewählte Dateierweiterung für den Namen der Exportdatei bestimmt gleichzeitigderen Format:

• Bei OpenPGP-Zertifikaten wird mit der Dateierweiterung gpg und pgp eine binäre Datei,mit der Erweiterung asc eine Datei im ASCII-Format erstellt.

• Bei S/MIME-Zertifikaten wird mit der Dateierweiterung der eine binäre Datei, mit derErweiterung pem eine Datei im ASCII-Format erstellt.

11


Sofern nicht mehrere Zertifikate ausgewählt sind, wird Kleopatra Fingerabdruck.{asc,pem} als Namen der Exportdatei vorschlagen.Diese Funktion steht nur zur Verfügung, wenn ein oder mehrere Zertifikate ausgewähltsind.

ANMERKUNGDiese Funktion exportiert nur die öffentlichen Schlüssel; auch wenn geheime Schlüssel verfüg-bar sind. Mit Datei→ Geheime Schlüssel exportieren ... können Sie die geheimen Schlüsselin eine Datei exportieren.

Datei→Geheime Schlüssel exportieren ...

Exportiert den geheimen Schlüssel in eine Datei.Im Dialog können Sie entscheiden, ob Sie in eine binäre Datei oder eine im ASCII-Format(ASCII-Mantel) exportieren möchten. Klicken Sie dann auf das Ordnersymbol rechts nebendem Textfeld Ausgabedatei und wählen den Ordner und den Namen für die Exportdatei.Beim Export von geheimen S/MIME-Schlüsseln können Sie zudem den Zeichensatz desKennsatzes wählen. Hierfür sei auf die Erläuterungen der --p12-charset Zeichensatz-Option im Handbuch zu GpgSM verwiesen.Diese Funktion steht nur zur Verfügung, wenn genau ein Zertifikat ausgewählt ist und derzugehörige geheime Schlüssel verfügbar ist.

WARNUNGDiese Funktion benötigt man nur sehr selten, und wenn das doch einmal der Fall sein sollte,dann sollte dies sorgfältig geplant werden. Zur Planung der Migration eines geheimen Schlüsselsgehört neben vielen anderen Dingen die Wahl des Transportmediums und das sichere Löschender Schlüsseldaten auf dem alten Rechner sowie auf dem Transportmedium.

Datei→ Zertifikate zu einem Server exportieren ... (Strg+Umschalt+E)

Exportiert die ausgewählten Zertifikate zu einem Schlüsselserver. Diese Funktion steht nurfür OpenPGP zu Verfügung.Falls eingestellt, wird das Zertifikat auf den für OpenPGP konfigurierten Zertifikatserverhochgeladen (siehe Abschnitt 5.1), anderenfalls auf keys.gnupg.net.Diese Funktion steht nur zur Verfügung, wenn mindestens ein OpenPGP-Zertifikat undkein S/MIME-Zertifikat ausgewählt ist.

ANMERKUNGWenn ein OpenPGP-Zertifikat bei einem öffentlichen Verzeichnisdienst registriert wurde, kann esin der Regel von dort nicht mehr entfernt werden. Stellen Sie daher vor der Registrierung sicher,dass Sie ein Widerrufszertifikat erstellt haben, sodass Sie das Zertifikat bei Bedarf zurückziehenkönnen.

ANMERKUNGDie meisten öffentlichen OpenPGP-Zertifikatserver werden untereinander abgeglichen, so dasses wenig Sinn macht das Zertifikat zu mehr als einen Server hochzuladen.Es mag vorkommen, dass eine Suche nach einem Zertifikat keine Treffer ergibt, auch wenn esgerade erst hochgeladen wurde. Dies erklärt sich dadurch, dass die meisten öffentlichen Schlüs-selserver zur Verteilung der Last DNS-Ringverteilung nutzen. Diese Server synchronisieren sichuntereinander, jedoch in der Regel nur etwa alle 24 Stunden.

12


Datei→Dateien entschlüsseln/überprüfen ...Entschlüsselt Dateien und/oder überprüft Signaturen von Dateien.

Datei→Dateien signieren/verschlüsseln ...Signiert und/oder verschlüsselt Dateien.

Datei→ Schließen (Strg+W)Schließt Kleopatras Hauptfenster. Es kann jederzeit durch Klicken auf das Symbol in derKontrollleiste wieder hergestellt werden.

Datei→ Beenden (Strg+Q)Beendet Kleopatra.

3.2 Das Menü Ansicht

Ansicht→Aktualisieren (F5)Aktualisiert die Zertifikatsliste.Diese Funktion ist im Normalfall nicht erforderlich, da Kleopatra das Dateisystem über-wacht und die Zertifikatsliste bei Bedarf automatisch aktualisiert.

Ansicht→Vorgang abbrechen (Esc)Bricht alle schwebenden Operationen ab, etwa eine Suche, Anzeige einer Schlüsselliste oderein Herunterladen.Diese Funktion steht nur zur Verfügung, wenn mindestens eine Operation ausgeführtwird.

ANMERKUNGEs kann vorkommen, dass diese Funktion nicht in der Lage ist Operationen direkt abzubrechen,wenn überhaupt. Dies ist in Einschränkungen der Treiber begründet.Um unter diesen Umständen die Funktionsfähigkeit wiederherzustellen, müssen die ProzesseSCDaemon, DirMngr, GpgSM und GPG (in dieser Reihenfolge) mit den Werkzeugen des Be-triebssystems (top, Systemüberwachung usw.) gestoppt werden, bis die Blockade der Operationaufgehoben ist.

Ansicht→ ZertifikatsdetailsZeigt die Details des derzeit ausgewählten Zertifikats an.Diese Funktion steht nur zur Verfügung, wenn genau ein Zertifikat ausgewählt ist.Diese Funktion kann auch direkt durch Doppelklicken des entsprechenden Eintrags in derZertifikatsliste aufgerufen werden.

Ansicht→Hierarchische ZertifikatslisteSchaltet zwischen der hierarchischen und der flachen Anzeige der Zertifikatsliste um.Im hierarchischen Modus werden die Zertifikate nach Aussteller und Subjekt angeordnet,sodass man einfach sehen kann, zu welcher Zertifikationshierarchie ein bestimmtes Zer-tifikat gehört; ein bestimmtes Zertifikat kann aber anfangs schwerer zu finden sein (zumSuchen können Sie aber natürlich die Suchleiste verwenden).In der flachen Ansicht werden alle Zertifikate alphabetisch sortiert in einer flachen Listeangezeigt. In diesem Modus kann man ein bestimmtes Zertifikat leicht finden, aber es istnicht direkt ersichtlich zu welchem Wurzel-Zertifikat es gehört.Diese Funktion wechselt zwischen der hierarchischen und flachen Ansicht auf einer Kar-teikarte, d. h. jede Karteikarte hat ihre eigene hierarchische Ansicht. Dies ermöglicht es zurgleichen Zeit sowohl eine hierarchische und eine flache Ansicht der gleichen Liste griffbe-reit zu haben.

13


ANMERKUNGDerzeit steht die hierarchische Ansicht nur für S/MIME-Zertifikate zur Verfügung. Es bestehtnoch Uneinigkeit unter den Entwicklern, wie die hierarchische Ansicht für OpenPGP-Zertifikateauszusehen hat (also: „Elternelement = Unterzeichner” oder „Elternelement = Unterzeichneter”).

Ansicht→Alle aufklappen (Strg+.)

Klappt alle Listeneinträge in der Zertifikatsliste auf, macht also die untergeordneten Ein-träge sichtbar.Dies ist die Standardeinstellung, wenn in die hierarchische Ansicht umgeschaltet wird.Natürlich können Sie auch weiterhin jeden Eintrag einzeln ein- und ausklappen.Diese Funktion steht nur zur Verfügung, wenn Ansicht→ Hierarchische Zertifikatslisteaktiviert ist.

Ansicht→Alle einklappen (Strg+,)

Klappt alle Listeneinträge in der Zertifikatsliste ein, macht also alle Einträge außer denenauf der obersten Ebene unsichtbar.Natürlich können Sie auch weiterhin jeden Eintrag einzeln ein- und ausklappen.Diese Funktion steht nur zur Verfügung, wenn Ansicht→ Hierarchische Zertifikatslisteaktiviert ist.

3.3 Das Menü Zertifikate

Zertifikate→ Inhaber-Vertrauenswürdigkeit ändern ...

Ändert die Vertrauenswürdigkeit des Inhabers des ausgewählten OpenPGP-Zertifikats.Diese Funktion steht nur zur Verfügung, wenn genau ein OpenPGP-Zertifikat ausgewähltist.

Zertifikate→Wurzelzertifikat vertrauenMarkiert dieses (S/MIME-)Wurzelzertifikat als vertrauenswürdig.Gewissermaßen ist dies gleichbedeutend mit Zertifikate→ Inhaber-Vertrauenswürdigkeitändern ... für S/MIME-Wurzelzertifikate. Allerdings können Sie nur zwischen — inOpenPGP-Begriffen gesprochen — „uneingeschränktem” Vertrauen und „niemals vertrau-en” wählen.

ANMERKUNGBeim Import eines Wurzelzertifikats wird der Treiber (also GpgAgent) fragen, ob dem importier-ten Wurzelzertifikat vertraut werden soll. Allerdings muss diese Funktion in den Treibereinstellun-gen ausdrücklich aktiviert werden (allow-mark-trusted in gpg-agent.conf, oder entwederGnuPG System→ GPG Agent→ Klienten erlauben Schlüssel als ´́ vertrauenswürdig´́ zumarkieren oder S/MIME Validierung→Erlauben, Wurzelzertifikate als vertrauenswürdig zumarkieren in Kapitel 5).Diese Funktion in den Treibereinstellungen zu aktivieren kann zu sich öffnenden Fenstern durchPinEntry zu unliebsamen Zeitpunkten führen (z. B. beim Überprüfen von Signaturen) und kanndadurch unbeaufsichtigte E-Mail-Bearbeitung blockieren. Aus diesem Grund und weil es wün-schenswert sein kann einem vertrauten Wurzelzertifikat wieder zu misstrauen, erlaubt Kleopatradas manuelle Setzen des Vertrauens.

14


WARNUNGAuf Grund von fehlender Treiberunterstützung dieser Funktion ist Kleopatra gezwungen dieGpgSM-Vertrauensdatenbank (trustlist.txt) direkt zu bearbeiten. Stellen Sie sicher, dassbeim Verwenden dieser Funktion keine andere Kryptografieanwendung neben Kleopatra Verän-derungen an dieser Datenbank vornimmt.

Diese Funktion steht nur zur Verfügung, wenn genau ein S/MIME-Wurzelzertifikat ausge-wählt ist und das Zertifikat noch nicht vertrauenswürdig ist.Benutzen Sie Zertifikate→Wurzelzertifikat nicht vertrauen , um diese Funktion wiederrückgängig zu machen.

Zertifikate→Wurzelzertifikat nicht vertrauenMarkiert dieses (S/MIME-)Wurzelzertifikat als nicht vertrauenswürdig.Diese Funktion steht nur zur Verfügung, wenn genau ein S/MIME-Wurzelzertifikat ausge-wählt ist und das Zertifikat vertrauenswürdig ist.Diese Funktion wird benutzt, um Zertifikate→Wurzelzertifikat vertrauen rückgängig zumachen. Näheres finden Sie in dieser Verknüpfung.

Zertifikate→ Zertifikat beglaubigen ...

Ermöglicht es, ein anderes OpenPGP-Zertifikat zu beglaubigen.Diese Funktion steht nur zur Verfügung, wenn genau ein OpenPGP-Zertifikat ausgewähltist.

Zertifikate→Ablaufdatum ändern ...Ermöglicht die Änderung des Ablaufdatums Ihres OpenPGP-Zertifikats.Benutzen Sie diese Funktion, um die Verfallszeit Ihrer OpenPGP-Zertifikate zu verlängern,als eine Alternative zum Erstellen eines neuen Zertifikats oder eines unbegrenzten Ablauf-datums („verfällt nie”).Diese Funktion steht nur zur Verfügung, wenn genau ein OpenPGP-Zertifikat ausgewähltist und der zugehörige geheime Schlüssel verfügbar ist.

Zertifikate→Kennsatz ändern ...Ermöglicht die Änderung des Kennsatzes des geheimes Schlüssels.Diese Funktion ist nur dann verwendbar, wenn genau ein Zertifikat ausgewählt ist und dergeheime Schlüssel für dieses vorhanden ist. Sie erfordert sehr aktuelle Treiber, da in derImplementierung nicht mehr GPG und GpgSM direkt aufgerufen wird, sondern auf eineauf GpgME basierende Lösung umgestiegen wurde.

ANMERKUNGAus Sicherheitsgründen ist die Frage durch PinEntry nach sowohl dem alten als auch dem neu-en Kennsatz ein separater Prozess. Abhängig von Ihrem System und der Güte der PinEntry-Implementierung auf Ihrem System kann es passieren, dass das PinEntry-Fenster im Hinter-grund erscheint. Wenn Sie also diese Funktion gewählt haben und nichts passiert, überprüfenSie in der Fensterleiste Ihres Betriebssystems, ob ein PinEntry-Fenster im Hintergrund geöffnetist.

Zertifikate→ Benutzerkennung hinzufügen ...

Erlaubt es Ihrem OpenPGP-Zertifikat eine neue Benutzer-ID hinzuzufügen.Nutzen Sie diese Funktion, um neue Identitäten einem bestehendem Zertifikat hinzuzufü-gen, alternativ zum Erstellen eines neuen Schlüsselpaares. Eine OpenPGP-Benutzer-ID hatdie folgende Form:

Wirklicher Name (Kommentar) <E-Mail >

15


In dem Fenster, das beim Auswählen dieser Funktion erscheint, fragt Kleopatra Sie nachden drei Parametern (Wirklicher Name, Kommentar und E-Mail) getrennt und zeigt dasErgebnis in einer Vorschau an.

ANMERKUNGDiese Parameter unterliegen den selben Administrationsrichtlinie wie bei neuen Zertifikaten. Se-hen Sie Abschnitt 2.3 und Abschnitt 6.1 für Details.

Diese Funktion steht nur zur Verfügung, wenn genau ein OpenPGP-Zertifikat ausgewähltist und der zugehörige geheime Schlüssel verfügbar ist.

Zertifikate→ Löschen (Entf)Löscht die ausgewählten Zertifikate aus dem lokalen Schlüsselspeicher.Verwenden Sie diese Funktion, um unbenutzte Schlüssel aus Ihrem lokalen Schlüsselspei-cher zu entfernen. Weil Zertifikate aber normalerweise an signierte E-Mail-Nachrichten an-gehängt sind, kann das Überprüfen einer Nachricht dazu führen, dass ein Schlüssel, denSie gerade entfernt haben, wieder im lokalen Schlüsselspeicher auftaucht. Daher sollte mandies Funktion weitgehend vermeiden. Wenn Sie sich in den Zertifikaten nicht mehr zurecht-finden, verwenden Sie die Suchleiste oder die Funktion Ansicht→ Hierarchische Zertifi-katsliste, um wieder klar zu sehen.

WARNUNGZum obigen gibt es eine Ausnahme: Wenn Sie eines Ihrer eigenen Zertifikate löschen, entfernenSie ebenfalls den geheimen Schlüssel. Dies hat zur Folge, dass Sie nicht mehr in der Lage sindältere Korrespondenzen, die mit diesem Zertifikat verschlüsselt sind, zu lesen sofern Sie nichtirgendwo eine Sicherungskopie Ihres geheimen Schlüssels haben.Kleopatra warnt Sie beim Versuch, einen geheimen Schlüssel zu löschen.

Auf Grund der hierarchischen Struktur von S/MIME-Zertifikaten werden beim Löscheneines S/MIME-Ausstellerzertifikates (CA-Zertifikat) auch alle Verwendungen gelöscht.1

Natürlich steht diese Funktion steht nur zur Verfügung, wenn mindestens ein Zertifikatausgewählt ist.

Zertifikate→ Zertifikat ausgeben

Zeigt alle Informationen eines ausgewählten (S/MIME-)Zertifikates an, die GpgSM überdieses hat.Für nähere Details über die Ausgabe sei auf den Abschnitt --dump-key Schlüssel desHandbuchs von GpgSM verwiesen.

3.4 Das Menü Extras

Extras→GnuPG-Protokollanzeige ...

Startet KWatchGnuPG, ein Hilfsprogramm, mit dem Sie die Ausgaben des ProgrammsGnuPG verfolgen können. Wenn das Signieren, Verschlüsseln oder Überprüfen auf einmalmysteriöserweise nicht mehr funktioniert, können Sie so möglicherweise den Grund dafürherausfinden.Da die zugrundeliegenden Mechanismen dieser Funktion unter Windows® nicht imple-mentiert sind, ist sie dort nicht verfügbar.

1 Das ist wie bei einem Dateisystem. Wenn Sie einen Ordner löschen, dann werden auch alle darin enthaltenen Dateienund Ordner gelöscht.

16

help:/kwatchgnupg/index.html


Extras→OpenPGP-Zertifikate aktualisierenAktualisiert alle OpenPGP-Zertifikate durch Ausführung von

gpg --refresh -keys

. Nach der erfolgreichen Ausführung des Befehls ist der lokale Schlüsselspeicher unter Be-rücksichtigung der Gültigkeit der OpenPGP-Zertifikate aktualisiert worden.Beachten sie die Hinweise zu Warnungen in Extras→ X.509-Zertifikate aktualisieren .

Extras→ X.509-Zertifikate aktualisierenAktualisiert alle S/MIME-Zertifikate durch Ausführung von

gpgsm -k --with -validation --force -crl-refresh --enable -crl-checks

. Nach der erfolgreichen Ausführung des Befehls ist der lokale Schlüsselspeicher unter Be-rücksichtigung der Gültigkeit der S/MIME-Zertifikate aktualisiert worden.

ANMERKUNGDas Aktualisieren von X.509- oder OpenPGP-Zertifikaten beinhaltet das erneute Herunterladenaller Zertifikate und Sperrlisten (CRLs), um zu überprüfen, ob sie in der Zwischenzeit zurückge-zogen wurden.Dies kann Ihre Netzwerkverbindung stark belasten und kann bis zu einer Stunde oder längerandauern, abhängig von der Geschwindigkeit Ihrer Netzwerkanbindung sowie der Anzahl der zuüberprüfenden Zertifikate.

Datei→ Sperrliste aus Datei importieren ...Importiert Sperrlisten (CRL) manuell aus Dateien.Normalerweise werden Sperrlisten (Zertifikatswiderrufslisten, Certificate Revocation Lists,CRLs) vom Backend transparent verarbeitet, aber manchmal kann es trotzdem nützlichsein, eine CRL manuell in den lokalen CRL-Cache zu importieren.

ANMERKUNGDamit der Import von CRLs funktionieren kann, muss das Hilfsprogramm DirMngr im SuchpfadPATH enthalten sein. Wenn dieser Menüeintrag inaktiv ist, dann sollten Sie mit Ihrem Systemver-walter Kontakt aufnehmen und um die Installation von DirMngr bitten.

Extras→ Sperrlisten-Zwischenspeicher leeren ...Leert den Sperrlisten-Zwischenspeicher von GpgSM.Diese Funktion benötigen Sie wahrscheinlich nie. Sie können das Aktualisieren desSperrlisten-Zwischenspeichers erzwingen, indem Sie alle Zertifikate auswählen und Extras→ X.509-Zertifikate aktualisieren aufrufen.

Extras→ Sperrlisten-Zwischenspeicher ausgeben ....Zeigt den genauen Inhalt des Sperrlisten-Zwischenspeichers von GpgSM an.

3.5 Das Menü Einstellungen

Kleopatra hat das bekannten KDE-Menü Einstellungen aus den KDE-Grundlagen mit einemzusätzlichen Eintrag:

Einstellungen→ Selbsttest durchführenFührt alle Selbsttests durch und zeigt deren Ergebnisse.Dies sind die gleichen Tests, die beim Starten ausgeführt werden. Sollten Sie die Selbsttestsbeim Starten ausgeschaltet haben, können Sie diese hier wieder einschalten.

17

help:/fundamentals/ui.html#menus-settings


3.6 Das Menü Fenster

Im Menü Fenster können die Unterfenster verwaltet werden. Mit den Einträgen können Unter-fenster umbenannt, hinzugefügt, dupliziert, geschlossen und nach rechts oder links verschobenwerden.Wenn Sie mit der rechten Maustaste auf einen Karteireiter klicken, wird ein Kontextmenü mitdenselben Aktion geöffnet.

3.7 Das Menü Hilfe

Kleopatra hat das bekannten KDE-Menü Hilfe das in den KDE-Grundlagen erläutert wird.

18

help:/fundamentals/ui.html#menus-help


Kapitel 4

Referenz der Befehlszeilenoptionen

Hier werden nur die Kleopatra-spezifischen Optionen aufgezählt. Wie bei allen KDE-Applikationen können Sie durch Aufrufen von kleopatra --help eine vollständige Liste allerOptionen bekommen.

--uiserver-socket argument

Adresse der Socket-Datei, an der der Benutzerschnittstellen-Server auf Befehle wartet

--daemonNur Benutzerschnittstellen-Server starten, Hauptfenster nicht anzeigen

-p --openpgp

Für die folgende Operation OpenPGP verwenden

-c --cmsFür die folgende Operation CMS (X.509, S/MIME) verwenden

-i --import-certificate

Gibt eine Datei oder URL an, aus der Zertifikate (oder geheime Schlüssel) importiert wer-den sollen.Dies ist das Befehlszeilen-Gegenstück zu Datei→ Zertifikate importieren ... (Strg+I) .

-e --encrypt

Datei(en) verschlüsseln

-s --sign

Datei(en) unterschreiben

-E --encrypt-sign

Verschlüsseln und/oder Signieren von Datei(en). Analog zu --sign-encrypt, nicht benut-zen

-d --decrypt

Datei(en) entschlüsseln

-V --verify

Datei/Signatur überprüfen

-D --decrypt-verify

Dateien entschlüsseln/überprüfen

19


Kapitel 5

Kleopatra einrichten

Den Einrichtungsdialog von Kleopatra öffnen Sie mit Einstellungen→Kleopatra einrichten ....

Sämtliche Seiten dieses Dialogs werden in den folgenden Abschnitten beschrieben.

5.1 Einrichtung von Zertifikatsservern

Auf dieser Seite können Sie einstellen welche LDAP-Server für die Suche nach S/MIME-Zertifikaten genutzt werden sollen und welche Schlüsselserver für die Suche nach OpenPGP-Zertifikaten.

ANMERKUNGDies ist eine benutzerfreundlichere Version der gleichen Einstellungen, wie sie unter Abschnitt 5.5 zufinden sind. Alles, was Sie hier einstellen können, ist auch dort möglich.

EIN HINWEIS ZU DEN PROXY-EINSTELLUNGENDie Proxy-Einstellungen für HTTP und LDAP können in Abschnitt 5.4 eingestellt werden, allerdings nurfür GpgSM. Auf Grund der Komplexität der GPG-Schlüsselserveroptionen und fehlender Unterstützungdieser in GpgConf müssen Sie die Proxyeinstellungen für GPG in der Konfigurationsdatei gpg.confselbst vornehmen. Bitte sehen Sie im Handbuch von GPG für Details hierüber nach. Kleopatra wirddie dort vorgenommenen Einstellungen beibehalten aber erlaubt es noch nicht diese in der GUI zuändern.

Die Verzeichnisdienste-Tabelle zeigt an, welche Server derzeit eingerichtet sind. Mit einem Dop-pelklick in eine Zelle lassen sich die Parameter bestehender Einträge bearbeiten.

Die Spalten in dieser Tabelle bedeuten:

ProtokollBestimmt das Netzwerkprotokoll, welches benutzt wird, um den Server zu erreichen. Häu-fig genutzte Schemata sind ldap (und das SSL-gesicherte Pendant ldaps) für LDAP-Server(übliches Protokoll für S/MIME; das einzige von GpgSM unterstütze), und hkp, das Horo-witz Keyserver Protocol („Horowitz-Schlüsselserver-Protokoll“), heute in der Regel HTTP-Schlüsselserver-Protokoll, einem auf HTTP basierendem Protokoll das wirklich alle öffent-lichen OpenPGP-Schlüsselserver unterstützen.In den Handbüchern von GPG und GpgSM finden Sie eine Liste der unterstützten Formate.

20


ServernameDer Domain-Name des Servers, z. B. keys.gnupg.net.

Server-PortDer Netzwerk-Port, auf dem der Server auf Anfragen wartet.Dieser ändert sich automatisch zum Standard-Port, wenn Sie das Protokoll ändern — so-fern es anfangs kein Standard-Port war. Sollten Sie den Standard-Port verändert haben undschaffen es nicht mehr, die Standardwerte einzustellen, versuchen Sie Protokoll auf httpund Server-Port auf 80 (Standard für HTTP) zu setzen und fahren von dort fort.

Basis-DNDie Basis-DN (nur für LDAP und LDAPS), d. h. die Wurzel der LDAP-Hierarchie, vonder aus gestartet werden soll. Oft wird dies auch als „Such-Wurzel” oder „Such-Basis”bezeichnet.In der Regel sieht dies aus wie c=de,o=Foo und ist Teil der LDAP-URL.

BenutzernameDer Benutzername, wenn vorhanden, der für die Anmeldung am Server genutzt wird.Diese Spalte wird nur angezeigt, wenn Benutzername und Passwort anzeigen unter derTabelle ausgewählt ist.

PasswortDas Passwort, wenn vorhanden, das für die Anmeldung am Server genutzt wird.Diese Spalte wird nur angezeigt, wenn Benutzername und Passwort anzeigen unter derTabelle ausgewählt ist.

X.509Markieren Sie diese Spalte, wenn dieser Eintrag für die Suche nach X.509-Zertifikaten (S/-MIME) genutzt werden soll.Es werden nur LDAP- und LDAPS-Server für S/MIME unterstützt.

OpenPGPMarkieren Sie diese Spalte, wenn dieser Eintrag für die Suche nach OpenPGP-Zertifikatengenutzt werden soll.

Sie können so viele S/MIME-Server (X.509) einrichten, wie Sie wollen. Jedoch ist nur einOpenPGP-Server erlaubt. Die GUI stellt dies sicher.

Um einen neuen Server hinzuzufügen, klicken Sie auf den Knopf Neu. Ist ein bestehender Eintragausgewählt, wird dieser dupliziert. Anderenfalls wird ein Standard-OpenPGP-Server eingefügt.Anschließend können Sie den Servername, den Server-Port, die Basis-DN, sowie das üblichePasswort und Benutzername einstellen. Letztere beiden werden benötigt, wenn der Server eineAuthentifizierung erfordert.

Um einen neuen Eintrag für X.509-Zertifikate einzufügen, nutzen Sie Neu→X.509. Für OpenPGPnutzen Sie analog Neu→OpenPGP.

Um einen Server aus der Suchliste zu entfernen, wählen Sie ihn in der Liste aus und betätigendann den Knopf Löschen.

Mit dem Eingabefeld LDAP-Zeitüberschreitung (Minuten:Sekunden) können Sie die LDAP-Zeitüberschreitung einstellen, also die maximale Zeit, die das Hintergrundprogramm auf dieAntwort eines Servers warten soll.Wenn einer Ihrer Server eine so große Datenbank enthält, dass selbst sinnvolle Suchanfragenwie Schmidt die Maximale Anzahl Treffer bei Anfragen überschreiten, dann können Sie dieseBegrenzung heraufsetzen. Sie können leicht feststellen, wenn das der Fall ist, weil ein Dialogerscheinen wird, der Ihnen mitteilt, dass die Suchergebnisse verkürzt worden sind.

ANMERKUNGEinige Server haben eigene Beschränkungen, wieviele Einträge sie in einer Abfrage zurückgeben. Indiesem Fall führt das Heraufsetzen der Begrenzung in diesem Dialog natürlich zu keiner Änderung.

21


5.2 Erscheinungsbild einrichten

5.2.1 Kurzinfos einrichten

In der Hauptliste der Zertifikate kann Kleopatra Details eines Zertifikats als Kurzinfos anzeigen.Die angezeigten Informationen sind die selben wie in der Karteikarte Übersicht des FenstersZertifikatsdetails. Allerdings können Kurzinfos nur einige Informationen anzeigen.

ANMERKUNGDie Schlüssel-ID wird immer angezeigt. Dies stellt sicher, dass die Kurzinfos unterschiedlicher Zertifi-kate sich voneinander unterschieden (dies ist besonders dann wichtig, wenn nur Gültigkeit anzeigenausgewählt wurde).

Sie können unabhängig voneinander die folgenden Informationen ein- oder ausschalten:

Gültigkeit anzeigenZeigt Informationen über die Gültigkeit eines Zertifikats an: seinen derzeitigen Status,Aussteller-DN (nur bei S/MIME), Verfallsdatum (wenn vorhanden) und Markierung zurNutzung des Zertifikats.Beispiel:

Dieses Zertifikat ist derzeit gültig.Ausgestellt durch: CN=Test -ZS7,O=Intevation GmbH ,C=DEGültigkeit: von 25.08.2009 10:42 bis 19.10.2010 10:42Verwendung des Zertifikats: Signieren von E-Mails und Dateien , ←↩

Verschlüsseln von E-Mails und DateienSchlüssel -Kennung: DC9D9E43

Inhaber-Informationen anzeigenZeigt Informationen über den Besitzer des Zertifikats: Verwendungs-DN (nur bei S/MI-ME), Benutzer-ID (einschließlich E-Mail-Adressen) und Besitzervertrauen (nur bei Open-PGP).Beispiel für OpenPGP:

Benutzer -ID: Gpg4winUserA <[email protected]>Schlüssel -Kennung: C6BF6664Eigentümer -Vertrauen: vollständiges Vertrauen

Beispiel für S/MIME:

Verwendung: CN=Gpg4winTestuserA ,OU=Testlab ,O=Gpg4win Project ,C= ←↩DE

Auch bekannt als: [email protected]üssel -Kennung: DC9D9E43

Technische Details anzeigenZeigt technische Informationen über das Zertifikat an: Seriennummer (nur bei S/MIME),Typ, Fingerabdruck und Speicherort.Beispiel:

Seriennummer: 27Zertifikatstyp: 1,024-bit RSA (geheimer Schlüssel vorhanden)Schlüssel -Kennung: DC9D9E43Fingerabdruck: 854 F62EEEBB41BFDD3BE05D124971E09DC9D9E43Gespeichert: auf diesem Rechner

22


5.2.2 Zertifikats-Kategorien einrichten

Sie können in Kleopatra die Darstellung der Schlüssel in der Schlüsselliste einstellen. Dazu ge-hören die Anzeige kleiner Symbole aber auch die Vordergrund- (Text-) und Hintergrundfarbesowie der Zeichensatz.Jeder Schlüsselkategorie in der Liste ist ein Satz von Farben, ein optionales Symbol und ein Zei-chensatz zugeordnet, in denen die Schlüssel, die zu dieser Kategorie gehören, dargestellt werden.Die Kategorieliste dient auch als Vorschau für die Einstellungen. Der Systemverwalter oder er-fahrene Benutzer können die Kategorien frei definieren; siehe dazu Abschnitt 6.2 in Kapitel 6.

Um das Symbol einer Kategorie zu ändern, wählen Sie die Kategorie in der Liste aus und klickenauf Symbol einstellen.... Der Standard-Symboldialog von KDE erscheint, in dem Sie ein Symbolaus der KDE-Sammlung auswählen oder ein eigenes einstellen können.

Um ein Symbol wieder zu löschen, verwenden Sie die Schaltfläche Voreingestelltes Erschei-nungsbild.

Um die Textfarbe, d. h. den Vordergrund einer Kategorie zu ändern, wählen Sie die Kategorie inder Liste aus und klicken auf Textfarbe einstellen ... Der Standard-Farbdialog von KDE erscheint,indem Sie eine Farbe auswählen oder eine neue erstellen können.Die Hintergrundfarbe wird auf die gleiche Weise geändert, verwenden Sie hier die SchaltflächeHintergrundfarbe einstellen ...

Sie haben zwei Möglichkeiten, den Zeichensatz einzustellen:

1. Verändern Sie den Standard-Zeichensatz, der für alle Listenanzeigen in KDE verwendetwird.

2. Verwenden Sie einen benutzerdefinierten Zeichensatz.

Die erste Option hat den Vorteil, dass der Zeichensatz Ihren KDE-weiten Stileinstellungen folgenwird, während Sie bei der letzteren Möglichkeit die volle Kontrolle über den zu verwendendenZeichensatz haben. Die Wahl liegt bei Ihnen.

Um den Standard-Zeichensatz zu verändern, wählen Sie die Kategorie in der Liste und ändernSie die Modifikatoren Kursiv, Fett und/oder Durchgestrichen. Sie können den Effekt auf denZeichensatz in der Kategorienliste unmittelbar sehen.

Um einen benutzerdefinierten Zeichensatz einzustellen, klicken Sie auf die Schaltfläche Zeichen-satz einstellen ... Der Standard-Zeichensatzdialog von KDE erscheint, in dem Sie den neuenZeichensatz einstellen können.

ANMERKUNGBeachten Sie, dass Sie die Zeichensatz-Modifikatoren weiterhin für den eigenen Zeichensatz verwen-den können; genau wie beim Verändern des Standard-Zeichensatz.

Um auf den Standard-Zeichensatz zurückzuschalten, verwenden Sie die Schaltfläche Voreinge-stelltes Erscheinungsbild.

5.2.3 Die DN-Attributreihenfolge einstellen

DNs sind zwar hierarchisch, aber die Reihenfolge der einzelnen Komponenten (auch relativeDNs (RDNs) oder DN-Attribute genannt) ist nicht definiert. Die Reihenfolge, in der die Attributeangezeigt werden, ist daher eine Frage des persönlichen Geschmacks oder von Firmenvorgaben,weswegen Sie diese Reihenfolge in Kleopatra konfigurieren können.

ANMERKUNGDiese Einstellung gilt nicht nur für Kleopatra, sondern für alle Anwendungen, die Kleopatra-Technologieverwenden. Dazu gehören derzeit KMail, KAddressBook und natürlich Kleopatra selbst.

23


Diese Konfigurationsseite besteht im wesentlichen aus zwei Listen, eine für die bekannten Attri-bute (Verfügbare Attribute) und eine, die die Aktuelle Attributreihenfolge beschreibt.

Beide Listen enthalten Einträge, die sowohl durch die Kurzform des Attributs (z. B. CN) als auchdurch die ausgeschriebene Form (Allgemeiner Name) beschrieben werden.

Die Einträge in der Liste Verfügbare Attribute sind immer alphabetisch sortiert, während dieReihenfolge in der Liste Aktuelle Attributreihenfolge die eingestellte Reihenfolge der DN-Attribute widerspiegelt; das erste Attribut in dieser Liste wird auch als erstes angezeigt.

Nur Attribute, die explizit in der Liste Aktuelle Attributreihenfolge: aufgeführt sind, werdenüberhaupt angezeigt. Der Rest ist in der Voreinstellung ausgeblendet.

Wenn aber der Platzhalter _X_ (Alle anderen) in der „aktuellen” Liste steht, dann werden allenicht aufgeführten Attribute (ob bekannt oder nicht) an der Position des _X_ in ihrer ursprüngli-chen relativen Reihenfolge eingefügt.

Ein kleines Beispiel soll dies deutlicher machen:

Im DN

O=KDE, C=US, CN=Dave Devel, X-BAR=foo, OU=Kleopatra, X-FOO=bar,

die Standardreihenfolge der Attribute „CN, L, _X_, OU, O, C” ergibt folgenden formatierten DN.

CN=Dave Devel, X-BAR=foo, X-FOO=bar, OU=Kleopatra, O=KDE, C=US

„CN, L, OU, O, C” dagegen ergibt

CN=Dave Devel, OU=Kleopatra, O=KDE, C=US

Um ein Attribut zur Anzeigeliste hinzuzufügen, wählen Sie es in der Liste der verfügbaren At-tribute aus und klicken auf die Schaltfläche Zur aktuellen Attributreihenfolge hinzufügen.

Um ein Attribut aus der Anzeigeliste zu entfernen, wählen Sie es in dieser aus und klicken aufdie Schaltfläche Von der aktuellen Attributreihenfolge entfernen.

Um ein Attribut an den Anfang oder das Ende zu verschieben, wählen Sie es in der Liste AktuelleAttributreihenfolge aus und klicken auf eine der Schaltflächen Nach ganz oben oder Nach ganzunten.Um ein Attribut um eine Position nach oben oder unten zu verschieben, wählen Sie es in derAnzeigeliste aus und klicken auf eine der Schaltflächen Nach oben oder Nach unten.

5.3 Kryptografie-Aktionen einrichten

5.3.1 E-Mail-Aktionen einrichten

Hier können Sie einige Dinge der E-Mail-Operationen des Kleopatra-UiServers einstellen. Der-zeit lässt sich nur einstellen, ob Sie den „Schnell-Modus” für das Signieren und Verschlüsselnvon E-Mails nutzen wollen.Wenn der „Schnell-Modus” aktiviert ist, werden zum Signieren (Verschlüsseln) von E-Mails kei-ne Dialoge erscheinen, solange keine Konflikte auftreten, die eine manuelle Auflösung erfordern.

24


5.3.2 Datei-Aktionen einrichten

Hier lassen sich einige Dinge der Datei-Operation des Kleopatra-UiServers einstellen. Der-zeit können Sie nur das Programm zum Erstellen der Prüfsummen durch CHECKS-UM_CREATE_FILES festlegen.

Verwenden Sie Prüfsummen-Programm, um festzulegen, welches der eingestelltenPrüfsummen-Programme für das Erstellen von Prüfsummendateien verwendet werdensoll.Zum Verifizieren wird das erforderliche Prüfsummen-Programm automatisch aus den Namender Prüfsummen-Datei ermittelt.

ANMERKUNGSystemverwalter und erfahrene Benutzer können die Prüfsummen-Programme, die Kleopatra zur Ver-fügung stehen sollen, völlig frei in den sogenannten „Checksum Definitions” der Einrichtungsdateidefinieren. Für Details sei auf Abschnitt 6.4 in Kapitel 6 verwiesen.

5.4 S/MIME-Prüfung einrichten

Auf dieser Seite können Sie einige Aspekte der Validierung von S/MIME-Zertifikaten einstel-len.

ANMERKUNGIn der Regel ist dies eine einfachere und benutzerfreundlichere Version der gleichen Einstellungen,wie sie unter Abschnitt 5.5 zu finden sind. Alles, was Sie hier einstellen können, ist auch dort möglich.Einzige Ausnahme bildet Zertifikatsgültigkeit überprüfen alle N Stunden, welches spezifisch fürKleopatra ist.

Diese Optionen haben folgende Bedeutung:

5.4.1 Einstellen des Intervalls zur Zertifikatüberprüfung

Zertifikatsgültigkeit überprüfen alle N Stunden

Diese Option aktiviert regelmäßiges Überprüfen der Zertifikatgültigkeit. Sie können au-ßerdem das Intervall in Stunden wählen. Der Effekt der hier eingestellten regelmäßigenÜberprüfung ist der gleiche wie der von Ansicht→Aktualisieren (F5) . Es gibt keine Vor-bedingungen für die Intervallplanung von Extras→ OpenPGP-Zertifikate aktualisierenoder Extras→ X.509-Zertifikate aktualisieren .

ANMERKUNGDie Überprüfung wird vorbehaltlos immer dann ausgeführt, wenn wichtige Dateien in ~/.gnupgverändert werden. Diese Option, wie auch Extras→ OpenPGP-Zertifikate aktualisieren undExtras→ X.509-Zertifikate aktualisieren , betrifft daher nur äußere Faktoren der Zertifikatgül-tigkeit.

25


5.4.2 Einstellung der Überprüfungsmethode

Zertifikate unter Verwendung von Sperrlisten prüfen

Falls diese Einstellung aktiviert ist, werden S/MIME-Zertifikate mit Hilfe von Zertifi-katsperrlisten (CRLs) überprüft.

Siehe Zertifikate online überprüfen (OCSP) für eine alternative Methode zur Überprüfungder Zertifikatgültigkeit.

Zertifikate online überprüfen (OCSP)

Wenn diese Einstellung ausgewählt ist, werden S/MIME-Zertifikate mittels des Online Cer-tificates Status Protocol (OCSP) überprüft.

WARNUNGWenn diese Methode gewählt ist, wird eine Anfrage an den Server des CA eigentlich immer danngestellt, wenn Sie eine verschlüsselte Nachricht empfangen oder senden. Daher ist es dem Zer-tifikataussteller theoretisch möglich nachzuverfolgen mit wem Sie (z. B.) E-Mails austauschen.

Um diese Methode nutzen zu können müssen Sie die URL des OCSP-Antwortservers inAdresse der OCSP-Gegenstelle eingeben.

Sehen Sie Zertifikate online überprüfen (OCSP) für eine traditionellere Methode zur Über-prüfung der Zertifikatgültigkeit, die keine Informationen darüber verrät, mit wem sieNachrichten austauschen.

Adresse der OCSP-Gegenstelle

Geben Sie hier die Adresse des Servers für die Online-Überprüfung von Zertifikaten ein(OCSP-Antwortserver). Die Adresse (URL) beginnt üblicherweise mit http:// .

Signatur der OCSP-Gegenstelle

Wählen Sie hier das Zertifikat mit dem der OCSP-Server seine Antworten signiert.

Dienst-Adresse in Zertifikaten ignorieren

Normalerweise enthält jedes S/MIME-Zertifikat die URL des OCSP-Antwortservers deszugehörigen Ausstellers (Zertifikate→ Zertifikat ausgeben gibt aus, ob ein bestimmtesZertifikat diese enthält).Auswählen dieser Option lässt GpgSM diese URLs ignorieren und nutzt nur die oben ein-gestellten.Benutzen Sie dies um z. B. die Verwendung eines firmenweiten OCSP-Proxys zu erzwin-gen.

5.4.3 Überprüfungseinstellungen einrichten

Zertifikats-Richtlinien nicht überprüfen

Standardmäßig verwendet GpgSM die Datei ~/.gnupg/policies.txt zur Überprüfung, obein bestimmter Umgang mit einem Zertifikat erlaubt ist. Falls diese Einstellung aktiviert ist,wird die Überprüfung nicht durchgeführt.

Nie Sperrlisten zu Rate ziehen

Wenn diese Option ausgewählt ist, werden Zertifikat-Widerrufslisten (Certificate Revocati-on Lists, CRLs) nie zur Überprüfung von S/MIME-Zertifikaten verwendet.

26


Das Markieren von Wurzelzertifikaten als vertrauenswürdig zulassen

Falls diese Einstellung beim Importieren eines Wurzel-CA-Zertifikates aktiviert ist, werdenSie um Bestätigung des Fingerabdrucks und des Status gebeten, egal ob Sie dem Zertifikatvertrauen oder nicht.Sie müssen einem Wurzelzertifikat vertrauen, damit die damit signierten Zertifikate eben-falls vertrauenswürdig werden können. Durch leichtfertiges Importieren und Vertrauenvon Wurzelzertifikaten können Sie die Sicherheit des gesamten Systems gefährden.

ANMERKUNGDiese Funktion in den Treibereinstellungen zu aktivieren kann zu sich öffnenden Fenstern durchPinEntry zu unliebsamen Zeitpunkten führen (z. B. beim Überprüfen von Signaturen) und kanndadurch unbeaufsichtigte E-Mail-Bearbeitung blockieren. Aus diesem Grund und weil es wün-schenswert sein kann einem vertrauten Wurzelzertifikat wieder zu misstrauen, erlaubt Kleopatradas manuelle Setzen des Vertrauens mit Hilfe von Zertifikate→ Wurzelzertifikat vertrauenund Zertifikate→Wurzelzertifikat nicht vertrauen .Diese Einstellung hier beeinträchtigt die Kleopatra-Funktion nicht.

Fehlende Aussteller-Zertifikatsketten einholenFalls diese Einstellung aktiviert ist, werden fehlende Ausstellerzertifikate heruntergeladen(das gilt für beide Überprüfungsmethoden, CRLs und OCSP).

5.4.4 Einrichten der Optionen für HTTP-Anfragen

Keine HTTP-Anfragen durchführen

Schaltet die Verwendung von HTTP für S/MIME gänzlich ab.

HTTP-Quellen für Sperrlisten von Zertifikaten ignorieren

Für die Suche der Adresse einer Sperrliste (CRL) enthält das fragliche Zertifikat häufigdie Angabe eines CRL-Verteilers („Distribution Point”: DP), der die Angabe von Adres-sen (URLs) zur Beschreibung des Zugriffs auf die CRL enthält. Der erste DP-Eintrag wirdverwendet.Bei dieser Einstellung werden alle Einträge, die das LDAP-Schema verwenden, bei der Su-che nach einem passenden DP-Eintrag ignoriert.

Systemweiten HTTP-Proxy-Server verwenden

Falls diese Einstellung aktiviert ist, wird der rechts angezeigte HTTP-Proxyserver (die Ein-stellung stammt aus der Umgebungsvariable http_proxy) für alle HTTP-Anfragen verwen-det.

Diesen Proxy für HTTP-Anfragen verwenden

Sollte kein systemweiter Proxy vorgegeben sein oder Sie einen anderen Proxy für GpgSMnutzen wollen, können Sie diesen hier angeben.Dieser wird für alle HTTP-Anfragen, die S/MIME betreffen, genutzt.Als Syntax wird Host:Port, z. B. meinproxy.nirgendwo.de:3128 benutzt.

5.4.5 Einrichten der Optionen für LDAP-Anfragen

Keine Verzeichnisdienstanfragen durchführen

Die Verwendung von LDAP für S/MIME gänzlich abschalten.

27


Verzeichnisdienst-Quellen für Sperrlisten von Zertifikaten ignorieren

Für die Suche der Adresse einer Sperrliste (CRL) enthält das fragliche Zertifikat häufigdie Angabe eines CRL-Verteilers („Distribution Point”: DP), der die Angabe von Adres-sen (URLs) zur Beschreibung des Zugriffs auf die CRL enthält. Der erste DP-Eintrag wirdverwendet.Bei dieser Einstellung werden alle Einträge, die das LDAP-Schema verwenden, bei der Su-che nach einem passenden DP-Eintrag ignoriert.

Primäre Adresse für Anfragen an den Verzeichnisdienst:

Ist hier ein LDAP-Server angegeben, werden alle LDAP-Anfragen zuerst zu diesem Servergesendet. Genauer gesagt überschreibt diese Einstellung hier sämtliche Host- und Port-Teile in einer LDAP-URL und wird auch dann genutzt wenn Host und Port in der URLnicht auftauchen.Andere LDAP-Server werden nur dann genutzt, wenn die Verbindung „Proxy” nicht auf-gebaut werden konnte. Die Syntax hierfür ist Host oder Host:Port. Ist Port ausgelassen,wird Port 389 (der Standard-Port für LDAP) genutzt.

5.5 Einrichtung des GnuPG-Systems

Dieser Teil des Fensters wird automatisch aus den Ausgaben von gpgconf --list-option Komponente generiert, wobei dieser für jede von gpgconf --list-components zurückgegebenerKomponente ausgeführt wird.

ANMERKUNGDie nützlichsten dieser Optionen wurden als eigenständige Seiten im Einstellungsdialog von Kleopatradupliziert. Sehen Sie Abschnitt 5.1 und Abschnitt 5.4, um mehr über diese beiden Seiten und die indiesem Teil dieses Fensters enthaltenen Optionen zu erfahren.

Der genaue Inhalt dieses Teils des Fensters hängt von der Version des GnuPG-Treibers ab, denSie installiert haben. Zudem vermutlich ebenfalls vom Betriebssystem, das Sie nutzen. Daherwird hier nur der allgemeine Aufbau des Fensters einschließlich der Abbildung der GpgConf-Optionen auf die GUI-Bedienelemente von Kleopatra erläutert.

GpgConf gibt Informationen über die Einstellungen zahlreicher Optionen. Innerhalb jeder Kom-ponente sind individuelle Optionen zu Gruppen zusammengestellt.

Kleopatra zeigt eine Registerkarte pro von GpgConf zurückgegebener Komponente. Gruppensind durch horizontale Linien und den Namen der Gruppe, so wie der von GpgConf zurückge-geben wird, voneinander getrennt.

Jede GpgConf-Option hat einen Typen. Mit Ausnahme einiger gut bekannter Optionen, die Kleo-patra mit besonderen Bedienelementen für eine bessere Benutzbarkeit gesondert handhabt, istdie Abbildung der GpgConf-Typen auf die GUI-Bedienelemente wie folgt:

GpgConf-Typ Kleopatra-Bedienelementfür Listen für nicht-Listen

noneDrehfeld (bezogen auf eine

„Anzahl”) Ankreuzfeld

string N/A Eingabefeldint32 Eingabefeld (unformatiert) Drehfelduint32

pathname N/A spezialisiertesBedienelement

28


ldap serverspezialisiertesBedienelement N/A

key fingerprint

N/Apub keysec keyalias list

Tabelle 5.1: Abbilden der GpgConf-Typen auf die GUI-Bedienele-mente

Im Handbuch von GpgConf finden Sie weitere Informationen über die Einstellungsmöglichkei-ten.

29


Kapitel 6

Handbuch für den Systemverwalter

Dieses Handbuch für den Systemverwalter beschreibt Möglichkeiten, Kleopatra zu konfigurie-ren, die nicht über die grafische Benutzerschnittstelle, sondern nur über Konfigurationsdateienerreichbar sind.Wir gehen hier davon aus, dass der Leser mit der Technologie zum Konfigurieren von KDE-Applikationen vertraut ist. Dazu gehören das Format, die Lage im Dateisystem und das Kaska-dieren von KDE-Konfigurationsdateien, sowie das KIOSK-System.

6.1 Anpassung des Assistenten zum Erzeugen von Zertifikaten

6.1.1 Anpassung der DN-Felder

Sie können in Kleopatra die Felder anpassen, die der Benutzer ausfüllen muss, um ein Zertifikatzu erzeugen.

Legen Sie eine Gruppe namens CertificateCreationWizard in der systemweiten kleopatrarc-Datei an. Wenn Sie die Reihenfolge der Attribute verändern wollen, oder nur bestimmte Elemen-te anzeigen wollen, dann definieren Sie einen Schlüssel namens DNAttributeOrder. Das Argu-ment besteht aus einem oder mehreren der Elementen CN,SN,GN,L,T,OU,O,PC,C,SP,DC,BC,EMAIL. Wenn Sie Felder mit einem bestimmten Wert initialisieren wollen, dann schreiben Sie Attri-but=Wert. Wenn das Attribut obligatorisch sein soll, dann fügen Sie ihm ein Ausrufungszeichenan (wie in CN!,L,OU,O!,C!,EMAIL!, der Standardeinstellung).

Mit dem KIOSK-Modus-Modifikator $e können Sie Werte aus Umgebungsvariablen oder einemausgewerteten Skript oder Binärprogramm verwenden. Wenn Sie außerdem noch das Editierendes entsprechenden Feldes verhindern wollen, verwenden Sie den Modifikator $i. Wenn Sie dieBenutzung der Schaltfläche Meine Adresse einfügen verbieten wollen, dann setzen Sie ShowSetWhoAmI auf false.

TIPAufgrund der Funktionsweise des KIOSK-Systems von KDE, ist es für den Benutzer unmöglich, denSchalter $i zu überschreiben. Das ist das beabsichtigte Verhalten. $i und $e können auch bei allenanderen Konfigurationsschlüsseln in KDE-Applikationen verwendet werden.

Das folgende Beispiel zeigt mögliche Anpassungen:

[CertificateCreationWizard];Persönliche Daten dürfen nicht aus dem Adressbuch kopiert werden;;lokales Überschreiben ist verboten

30


ShowSetWhoAmI[$i]=false

;Benutzername mit $USER vordefinierenCN[$e]=$USER

;Firmenname mit "Meine Firma" vordefinieren; editieren verbietenO[$i]=Meine Firma

;Den Abteilungsnamen mit dem Rückgabewert eines Skripts vordefinierenOU[$ei]=$(lookup_dept_from_ip)

; das Land mit DE vordefinieren , aber Änderungen durch den Benutzer ←↩zulassen

C=DE

6.1.2 Beschränkung der Schlüsselarten, die ein Benutzer erzeugen darf

In Kleopatra kann auch die Art der Zertifikate beschränkt werden, die ein Benutzer erzeugendarf. Beachten Sie aber, das diese Einschränkungen leicht umgangen werden können, indem dasZertifikat in einer Konsole auf der Befehlszeile generiert wird.

6.1.2.1 Algorithmen für öffentliche Schlüssel

Um den verwendeten Algorithmus für öffentliche Schlüssel zu beschränken, fügen Sie den Ein-richtungsschlüssel PGPKeyType und CMSKeyType (für CMS-Typen wird nur RSA unterstützt) zumAbschnitt CertificateCreationWizard in der Datei kleopatrarc ein.

Die erlaubten Werte sind RSA für RSA-Schlüssel, DSA für DSA-Schlüssel (nur zur Signierung) undDSA+ELG für einen DSA-Schlüssel (nur zur Signierung) mit einem Elgamal-Unterschlüssel zumVerschlüsseln.Der Standardwert wird aus der Datei GpgConf eingelesen. Ist hier kein Standard eingetragen,wird RSA verwendet.

6.1.2.2 Größe des öffentlichen Schlüssels

Um die mögliche Schlüsselgröße für einen öffentlichen Algorithmus zu beschränken, fügen Sieden Einrichtungsschlüssel <ALG>KeySizes (erlaubte Werte für ALG RSA, DSA oder ELG) zum Ab-schnitt CertificateCreationWizard der Datei kleopatrarc ein. Tragen Sie als Wert eine durchKommata getrennte Liste von Schlüsselgrößen in Bit ein. Der Standardwert wird durch das Vor-anstellen eines Bindestrichs (-) gekennzeichnet.

RSAKeySizes = 1536,-2048,3072

In diesem Beispiel sind nur RSA-Schlüsselgrößen von 1536, 2048 und 3072 Bit erlaubt, der Stan-dardwert ist 2048 Bit.Zusätzlich zur Größe selbst können Sie auch Marken für jede Größe bestimmen. Geben Sie dazufür den Einrichtungsschlüssel ALGKeySizeLabels ein durch Kommata getrennte Liste von Mar-ken ein.

RSAKeySizeLabels = weak ,normal ,strong

Zusammen ergeben die beiden oben genannten Beispiele die folgende Möglichkeit zur Auswahl:

31


weak (1536 bits)normal (2048 bits)strong (3072 bits)

Die Standardwerte entsprechen der folgenden Vorgabe:

RSAKeySizes = 1536,-2048,3072,4096RSAKeySizeLabels =DSAKeySizes = -1024,2048DSAKeySizeLabels = v1,v2ELGKeySizes = 1536,-2048,3072,4096

6.2 Schlüsselkategorien erzeugen und editieren

Sie können in Kleopatra das Aussehen von Schlüsseln auf der Basis eines Konzepts namensSchlüsselkategorien verändern. Schlüsselkategorien werden auch benutzt, um die Liste derZertifikate zu filtern. In diesem Abschnitt beschreiben wir, wie Sie die verfügbaren Kategorieneditieren und neue hinzufügen können.

Um herauszufinden, zu welcher Kategorie ein Schlüssel gehört, versucht Kleopatra, den Schlüs-sel mit einer Folge von Schlüsselfiltern abzugleichen, die in der Datei libkleopatrarc konfigu-riert sind. Der erste passende Filter definiert die Kategorie, basierend auf dem später erläutertenKonzept der Genauigkeit.

Jeder Schlüsselfilter ist in einer Konfigurationsgruppe namens Key Filter #n definiert, wobei neine Zahl ist, beginnend bei 0.

Die einzigen obligatorischen Schlüssel in einer solchen Key Filter #n-Gruppe sind der Name, derden Namen der Kategorie enthält, wie er im Einrichtungsdialog angezeigt wird und id, die alsVerweis auf Filter in anderen Abschnitten der Einrichtungsdatei dient, wie zum Beispiel View #n.

Tabelle 6.1 führt alle Schlüssel auf, die die Anzeigeeigenschaften von Schlüsseln dieser Kategoriedefinieren (d. h. die Schlüssel, die im Einrichtungsdialog editiert werden können), wohingegenTabelle 6.2 alle Schlüssel auflistet, die die Kriterien definieren, anhand denen Filter mit Schlüsselnverglichen werden.

Konfigurationsschlüssel Typ Beschreibung

background-color Farbe

Die zu verwendendeHintergrundfarbe. Wenndieser Schlüssel nichtvorhanden ist, wird alsVorgabe die globaldefinierte Hintergrundfarbefür Listenansichtenverwendet.

foreground-color Farbe

Die zu verwendendeVordergrundfarbe. Wenndieser Schlüssel nichtvorhanden ist, wird alsVorgabe die globaldefinierteVordergrundfarbe fürListenansichten verwendet.

32


font Zeichensatz

Der zu verwendendebenutzerdefinierteZeichensatz. DerZeichensatz wird auf die fürListenansichtenkonfigurierte Größeskaliert, und mitZeichensatzattributen (sieheunten) versehen.

font-bold Boolescher Wert

Wenn dieser Schlüssel denWert true hat und fontnicht gesetzt ist, dann wirdder Standard-Listen-Zeichensatz in Fettschrift (soverfügbar) verwendet.Wenn auch font vorhandenist, wird dieser Schlüsselignoriert.

font-italic Boolescher WertAnalog zu font-bold, aberfür kursiven Schriftstilanstelle von fettem.

font-strikeout Boolescher Wert

Wenn dieser Schlüssel denWert true hat, dann wirdeine zentrierte Linie durchden Zeichensatz gezogen.Wird auch dann verwendet,wenn font gesetzt ist.

icon Text

Der Name eines Icons, dasin der ersten Spalteangezeigt wird. Noch nichtimplementiert.

Tabelle 6.1: Schlüsselfilter-Konfigurationsschlüssel, die Anzeigee-igenschaften definieren

Konfigurationsschlüssel TypWenn dieser Schlüsselangegeben ist, passt derFilter, wenn ...

is-revoked Boolescher Wert der Schlüssel widerrufenworden ist.

match-context Kontext1 der Kontext der auf diesenFilter passt.

is-expired Boolescher Wert der Schlüssel abgelaufen ist.

is-disabled Boolescher Wert

der Schlüssel vom Benutzerdeaktiviert worden ist(nicht mehr benutzt werdensoll). Wird beiS/MIME-Schlüsselnignoriert.

1Kontext besteht aus einer Aufzählung der folgenden zulässigen Werte: appearance, filtering und any.

33


is-root-certificate Boolescher Wert

der Schlüssel einWurzelzertifikat ist. Wirdbei OpenPGP-Schlüsselnignoriert.

can-encrypt Boolescher Wertder Schlüssel zumVerschlüsseln verwendetwerden kann.

can-sign Boolescher Wert der Schlüssel zum Signierenverwendet werden kann.

can-certify Boolescher Wert

der Schlüssel zum Signieren(Zertifizieren) andererSchlüssel verwendetwerden kann.

can-authenticate Boolescher Wert

der Schlüssel zurAuthentifikation (etwa alsTLS-Client-Zertifikat)verwendet werden kann.

is-qualified Boolescher Wert

der Schlüssel kann benutztwerden, um qualifizierteSignaturen zu erzeugen,wie sie im deutschenSignaturgesetz ((Gesetzüber Rahmenbedingungenfür elektronischeSignaturen) definiert sind.

is-cardkey Boolescher Wertder Schlüssel wird auf einerChipkarte und nicht aufdem Rechner gespeichert.

has-secret-key Boolescher Wertder geheime Schlüssel zudiesem Schlüsselpaar zurVerfügung steht.

is-openpgp-key Boolescher Wert

der Schlüssel einOpenPGP-Schlüssel (true)oder ein S/MIME-Schlüssel(false) ist.

was-validated Boolescher Wert der Schlüssel überprüftworden ist.

34


präfix-ownertrust Gültigkeit2

der Schlüssel hat genau(präfix = is), hat alle außer(präfix = is-not), hatmindestens(präfix = is-at-least),oder hat höchstens(präfix = is-at-most) dasEigentümer-Vertrauen, dasals Wert desKonfigurationsschlüsselsangegeben ist. Wenn mehrals ein präfix-ownertrust-Schlüssel (mitunterschiedlichenpräfix-Werten) in einereinzigen Gruppe steht, istdas Verhalten undefiniert.

präfix-validity Gültigkeit

Entsprechendpräfix-ownertrust, aberfür die Gültigkeit vonSchlüsseln anstelle vomEigentümer-Vertrauen.

Tabelle 6.2: Schlüsselfilter-Konfigurationsschlüssel, die Filterkrit-erien definieren

ANMERKUNGEinige der interessanteren Kriterien wie is-revoked oder is-expired funktionieren nur bei validier-ten Schlüsseln, weswegen standardmäßig nur überprüfte Schlüssel auf Widerruf oder Ablauf geprüftwerden, auch wenn es Ihnen frei steht, diese zusätzlichen Abfragen zu entfernen.

Zusätzlich zu den oben genannten Konfigurationsschlüsseln kann ein Schlüsselfilter auch nochdie Attribute id und match-contexts haben.Mit der id des Filters ist überall in der Konfiguration der Zugriff auf den Schlüsselfilter möglich,z. B. in Kleopatras Konfiguration des Erscheinungsbilds. Der Standardwert der id ist der Nameder Gruppe in der Konfigurationsdatei, falls nicht anders angegeben. Der Wert darf auch nichtgesetzt sein. Die id wird durch Kleopatra nicht verarbeitet und kann daher einen beliebigen Textenthalten, der aber eindeutig sein muss.

Das Attribut match-contexts begrenzt die Anwendungsmöglichkeit des Filters. Es sind zurzeitzwei Kontexte definiert: appearance wird benutzt zur Definition von Farben und Schriften für dieAnzeige. Mit filtering werden Zertifikate in der Ansicht ein- oder ausgeblendet. any kann zurKennzeichnung aller aktuell definierten Kontexte verwendet werden. Dies ist die Voreinstellung,wenn match-contexts nicht definiert ist oder sich ansonsten kein Kontext ergibt. Damit wirdsichergestellt, dass es keinen Filter ohne Kontext gibt.

Ein Eintrag besteht aus einer Liste von Zeichengruppen, getrennt durch Leerzeichen. Jeder Zei-chengruppe kann ein Ausrufungszeichen (!) vorangestellt werden, damit wird der Ausdruckverneint. Die Zeichengruppen werden der Reihe nach auf eine interne Liste von Kontexten an-gewendet, die zu Beginn leer ist. Das lässt sich am Besten an einem Beispiel erklären: any !appearance entspricht filtering, und appearance !appearance ebenso wie !any ergeben eine leere

2Die Gültigkeit ist eine (geordnete) Aufzählung mit den folgenden zulässigen Werten: unknown, undefined, never,marginal, full und ultimate. Eine vollständige Beschreibung finden Sie in den Handbüchern zu GPG und GpgSM.

35


Menge. Die letzten beiden Ergebnisse werden intern durch any ersetzt, da sie keinerlei Kontextergeben.

Nicht angegebene Kriterien (Kriterien, deren Konfigurationsschlüssel nicht angegeben ist), wer-den nicht abgefragt. Wenn ein Kriterium angegeben ist, dann wird es abgefragt und muss zutref-fen, damit der Filter als Ganzes zutrifft; die einzelnen Kriterien werden also UND-verknüpft.

Jeder Filter beinhaltet eine „Genauigkeit”, die alle passenden Filter bewertet. Der genauere Filterwird dem weniger genauen vorgezogen. Haben zwei Filter die gleiche Genauigkeit, wird derzuerst in der Konfigurationsdatei aufgeführte benutzt. Die Genauigkeit entspricht der Anzahlder Kriterien des Filters.

Beispiel 6.1 Beispiele für SchlüsselfilterUm alle abgelaufenen, aber nicht widerrufenen Wurzel-Zertifikate abzufragen, würden Sie denfolgenden Schlüsselfilter verwenden:

[Key Filter #n]Name=abgelaufen , aber nicht widerrufenwas-validated=trueis-expired=trueis-revoked=falseis-root -certificate=true; ( specificity 4 )

Um alle deaktivierten OpenPGP-Schlüssel (derzeit noch nicht von Kleopatra unterstützt) miteinem Eigentümer-Vertrauen von mindestens „marginal” abzudecken, verwenden Sie:

[Key Filter #n]Name=deaktivierte OpenPGP -Schlüssel mit einem Ownertrust von marginal oder ←↩

besseris-openpgp=trueis-disabled=trueis-at-least -ownertrust=marginal; ( specificity 3 )

6.3 Einstellung von Archivierungs-Programmen für die Benut-zung mit „Dateien signieren/verschlüsseln ...”

Kleopatra ermöglicht dem Systemverwalter (und erfahrenen Benutzer) die Liste derArchivierungs-Programme, die im „Dateien signieren/verschlüsseln ...”-Dialog wählbar sind,einzustellen.Jedes Archivierungs-Programm wird in libkleopatrarc als eigenständige Archive Definition#n-Gruppe mit den folgenden verbindlichen Schlüsseln definiert:

extensionsEine durch Komma getrennte Liste von Dateierweiterung, die normalerweise eine Archiv-datei kennzeichnen.

idEine eindeutige Kennung, um dieses Archivierungs-Programm intern zu identifizieren.Falls Sie Zweifel haben, nutzen Sie den Namen des Befehls.

Name (übersetzt)Der Name des Archivierungs-Programms, so wie er dem Benutzer im entsprechenden Auf-klappmenü des „Dateien signieren/verschlüsseln ...”-Dialogs angezeigt wird.

36


pack-command

Der eigentliche Befehl zum Archivieren von Dateien. Sie können hier jeden Befehl verwen-den, so lange es nicht erforderlich ist eine Shell auszuführen. Sofern Sie keinen absolu-ten Pfad angeben, wird die Programmdatei wird mit Hilfe der PATH-Umgebungsvariablenachgeschlagen. Anführungszeichen werden so unterstützt, als wenn eine Shell verwendetwird:

pack -command="/opt/ZIP v2.32/bin/zip" -r -

ANMERKUNGDa umgedrehte Schrägstriche (\) ein Steuerzeichen in KDE-Einrichtungsdateien sind, müssen Siediese doppelt verwenden, wenn sie in Pfadnamen auftauchen:

pack -command=C:\\Programme\\GNU\\tar\\gtar.exe ...

Für den Befehl selbst (im Gegensatz zu seinen Argumenten) sollten Sie nur normale Schrägstriche (/) als Trennzeichen für Pfade auf allen Plattformen nutzen.

pack -command=C:/Programme/GNU/tar/gtar.exe ...

In den Argumenten des Befehls wird dies nicht unterstützt, da zumindest Windows®-Programme denSchrägstrich für Optionen nutzen. Zum Beispiel funktioniert das folgende nicht, da C:/meinearchivierung.bat ein Argument für cmd.exe ist und / in Argumenten nicht in \ umgewandelt wird, sondernnur in Befehlen:

pack -command=cmd.exe C:/meinearchivierung.bat

Dies muss wie folgt umgeschrieben werden.

pack -command=cmd.exe C:\\meinearchivierung.bat

6.3.1 Dateiname der zu archivierenden Datei, wie er dem pack-commandübergeben wird

Es gibt drei Möglichkeiten Dateinamen dem Archivierungs-Befehl zu übergeben.

1. Als Befehlszeilen-Argumente.Beispiel (GNU-tar):

pack -command=tar cf -

Beispiel (ZIP):

pack -command=zip -r - %f

In diesem Fall werden die Dateinamen über die Befehlszeile übergeben, genau so, als wenndie Befehlszeileneingabe genutzt würde. Kleopatra benutzt keine Shell um den Befehl aus-zuführen. Daher ist die sicherste Methode Dateinamen zu übergeben, auch wenn dies aufeinigen Systemen an Begrenzungen der Befehlszeilenlänge stoßen kann. Sofern das Literal%f angegeben ist, wird es durch die Namen der zu archivierenden Dateien ersetzt. Ande-renfalls werden diese Dateinamen an das Ende der Befehlszeile abgehängt. Daher kann dasZIP-Beispiel wie folgt gleichbedeutend umgeschrieben werden:

pack -command=zip -r -

37


2. Über die Standard-Eingabe und durch Zeilenumbrüche getrennt: | voranstellen.Beispiel (GNU-tar):

pack -command=|gtar cf - -T-

Beispiel (ZIP):

pack -command=|zip -@ -

In diesem Fall werden die Dateinamen dem Archivierungs-Programm über stdin zeilen-weise übergeben. Dies umgeht Probleme auf Systemen, die eine niedrige Begrenzung fürdie Anzahl an erlaubten Befehlszeilenzeilenparametern setzen, schlägt jedoch fehl, wennDateinamen Zeilenumbrüche enthalten.

ANMERKUNGDerzeit unterstützt Kleopatra nur LF als Steuerzeichen für einen Zeilenumbruch und nicht CRLF.Abhängig von Rückmeldungen der Benutzer kann sich dies in Zukunft ändern.

3. Über die Standard-Eingabe und durch NUL-Bytes getrennt: 0| voranstellen.Beispiel (GNU-tar):

pack -command=0|gtar cg - -T- --null

Dies ist das gleiche wie oben, außer, dass NUL-Bytes für die Trennung der Dateinamengenutzt wurde. Da NUL-Bytes in Dateinamen verboten sind, ist dies die robusteste Me-thode um Dateinamen zu übergeben. Allerdings wird sie nicht von allen Archivierungs-Programmen unterstützt.

6.4 Einrichtung der Prüfsummen-Programme zur Benutzungmit „Prüfsummen erstellen/verifizieren”

Kleopatra ermöglicht es dem Systemverwalter (und erfahrenen Benutzer) die Liste derPrüfsummen-Programme, aus denen der Benutzer im Einstellungs-Fenster wählen kann, ein-zustellen. Zudem ist Kleopatra dann in der Lage bei Bedarf eines für die Überprüfung der Prüf-summe einer gegebenen Datei automatisch zu wählen.

38


ANMERKUNGUm von Kleopatra benutzbar zu sein muss die Ausgabe eines Prüfsummen-Programms (sowohl diegespeicherte Prüfsummendatei als auch die Ausgabe auf stdout) kompatibel mit GNU md5sum undsha1sum sein.Insbesondere muss die Prüfsummendatei zeilenbasiert sein, wobei jede Zeile das folgende Formaterfüllen muss:

PRÜFSUMME ’ ’ ( ’ ’ | ’*’ ) DATEINAME

, wobei PRÜFSUMME nur aus hexadezimal-Zeichen besteht. Sollte DATEINAME ein Zeilenumbruchzei-chen enthalten, muss die Zeile wie folgt formatiert sein:

\PRÜFSUMME ’ ’ ( ’ ’ | ’*’ ) MASKIERTER -DATEINAME

, wobei MASKIERTER-DATEINAME der Dateiname ist, in dem Zeilenumbrüche durch \n und umge-drehte Schrägstriche gedoppelt sind (\↦\\).Vergleichbar muss die Ausgabe von verify-command die Form

DATEINAME ( ’: OK’ | ’: FAILED ’)

haben, wobei Zeilenumbrüche wieder als Trennzeichen dienen. Allerdings werden Zeilenumbrücheund andere Steuerzeichen der Ausgabe hier nicht maskiert.a

a Diese Programme wurden nicht für eine graphische Benutzeroberfläche geschrieben und Kleopatra wird beimanalysieren von irrsinnigen Dateinamen, die „: OK“ und einen Zeilenumbruch enthalten, versagen.

Jedes Prüfsummen-Programm ist in libkleopatrarc als eigenständige Checksum Definition#n-Gruppe mit den folgenden verbindlichen Schlüsseln definiert:

file-patterns

Eine Liste regulärer Ausdrücke, die beschreiben welche Dateien als Prüfsummendateienfür diese Prüfsummen-Programm gehalten werden sollen. Die Syntax ist die gleiche, dieauch für Zeichen-Listen in KDE-Einrichtungsdateien verwendet wird.

ANMERKUNGDa reguläre Ausdrücke normalerweise umgedrehte Schrägstriche enthalten, muss Vorsicht ge-waltet werden, um diese in der Einrichtungsdatei richtig zu maskieren. Die Verwendung vonWerkzeugen zur Bearbeitung von Einrichtungsdateien wird empfohlen.

Ausschlaggebend dafür, ob die Muster Groß-/Kleinschreibung unterscheiden, ist das Sys-tem.

output-file

Der typische Name der Ausgabedatei dieses Prüfsummen-Programms (sollte natürlich ei-nem der file-patterns entsprechend). Diesen verwendet Kleopatra als Name der Ausga-bedatei beim Erstellen von Prüfsummendateien dieses Typs.

idEine eindeutige Kennung, um dieses Prüfsummen-Programm intern zu identifizieren. FallsSie Zweifel haben, nutzen Sie den Namen des Befehls.

Name (übersetzt)Der Name des Archivierungs-Programms, so wie er dem Benutzer in Kleopatras Einrich-tungsdialog angezeigt wird.

39


create-commandDer eigentliche Befehl mit dem Prüfsummendateien erzeugt werden. Die Syntax sowie Be-grenzungen und Optionen der Argument-Übergabe sind die gleichen wie für pack-commandin Abschnitt 6.3 beschrieben.

verify-command

Genau wie create-command, allerdings für Prüfsummen-Verifizierung.

Hier sehen Sie ein vollständiges Beispiel:

[Checksum Definition #1]file -patterns=sha1sum.txtoutput -file=sha1sum.txtid=sha1sum -gnuName=sha1sum (GNU)Name[de]=sha1sum (GNU)...create -command=sha1sum -- %fverify -command=sha1sum -c -- %f

40


Kapitel 7

Danksagungen und Lizenz

Kleopatra Copyright 2002 Steffen Hansen, Matthias Kalle Dalheimer und Jesper Pedersen, Copy-right 2004 Daniel Molkentin, Copyright 2004, 2007, 2008, 2009, 2010 Klarälvdalens DatakonsultABCopyright der Dokumentation 2002 Steffen Hansen, Copyright 2004 Daniel Molkentin, Copy-right 2004,2010 Klarälvdalens Datakonsult AB

MITWIRKENDE

• Marc Mutz [email protected]

• David Faure [email protected]

• Steffen Hansen [email protected]

• Matthias Kalle Dalheimer [email protected]

• Jesper Pedersen [email protected]

• Daniel Molkentin [email protected]

Übersetzung Matthias Kalle [email protected] und Torbjö[email protected]

Diese Dokumentation ist unter den Bedingungen der GNU Free Documentation License veröf-fentlicht.Dieses Programm ist unter den Bedingungen der GNU General Public License veröffentlicht.

41

mailto:[email protected]








fdl-translated.html

gpl-translated.html

Documents

Das Handbuch zu Kleopatra - KDE Documentation · PDF file•Bei OpenPGP-Zertiﬁkaten wird mit der Dateierweiterung gpg und pgp eine binäre Datei, mit der Erweiterung asc eine Datei